Haga clic aquí para instalar Silverlight*
LatinoaméricaCambiar|Todos los sitios de Microsoft
Microsoft TechNet
|Suscríbase|Descarga|Contáctenos|Simplified
   
Home Technet Seguridad >Boletines
 
Boletín de Seguridad MS03-034
Un defecto de NetBIOS podría provocar la divulgación de información (824105)
 

Expuesto originalmente: 3 de Septiembre de 2003

Resumen

Quién debería leer este boletín: Los clientes que utilicen Microsoft® Windows®

Alcance de la vulnerabilidad: Divulgación de información

Gravedad máxima: Baja

Recomendación: Los usuarios deben valorar la necesidad de aplicar la revisión de seguridad en los sistemas afectados.

Software afectado:

  • Microsoft Windows NT 4.0® Server

  • Microsoft Windows NT 4.0, Terminal Server Edition

  • Microsoft indows 2000

  • Microsoft Windows XP

  • Microsoft Windows Server™  2003
     

Software no afectado:

  • Microsoft Windows Millennium Edition (ME)

Boletín para el usuario final: texto en: 

www.microsoft.com/latam/technet/seguridad/boletines/MS03-034/MS03-034-USER.asp

 

 
 
Detalles técnicos
 

 

 

Descripción técnica:

NetBIOS es una interfaz de programación de aplicaciones (API) que los programas pueden utilizar en una red de área local (LAN). NetBIOS proporciona a los programas una serie uniforme de comandos para solicitar los servicios de nivel inferior necesarios para administrar nombres, controlar sesiones y enviar datagramas entre los nodos de una red.

Este punto vulnerable afecta a uno de los servicios NetBT (NetBIOS en TCP), concretamente al Servicio de nombres NetBIOS (NBNS). NBNS, el equivalente a DNS en el mundo TCP/IP, permite buscar la dirección IP de una máquina a partir de su nombre NetBIOS o viceversa.

En ciertas condiciones, la respuesta a una consulta del servicio de nombres NetBT puede, aparte de la respuesta normal, incluir datos aleatorios de la memoria del sistema de destino. Estos datos podrían, por ejemplo, contener una parte de código HTML si el usuario del sistema de destino estaba utilizando un explorador de Internet, o cualquier otro tipo de datos presentes en la memoria en el momento en que la máquina de destino enviaba una respuesta a una consulta del servicio de nombres NetBT.

Un atacante podría aprovechar este punto vulnerable para enviar al sistema de destino una consulta del servicio de nombres NetBT y, seguidamente, analizar detenidamente la respuesta para comprobar si contiene algún dato aleatorio de la memoria del sistema.

Si se han seguido las medidas de seguridad normales, y el puerto UDP 137 se ha bloqueado en el servidor de seguridad, los ataques desde Internet no pueden realizarse de ninguna forma.

Factores atenuantes:

  • La divulgación de cualquier tipo de información es totalmente aleatoria.

  • El Servidor de seguridad de conexión a Internet (ICF), disponible con Windows XP y Windows Server 2003, bloquea estos puertos de forma predeterminada.

  • Para aprovechar esta vulnerabilidad, un atacante debería ser capaz de enviar una solicitud NetBT especialmente diseñada al puerto 137 del sistema de destino y, a continuación, inspeccionar la respuesta para comprobar si contiene datos aleatorios de la memoria de ese sistema. En los entornos conectados a una intranet, estos puertos suelen estar accesibles, pero en las máquinas conectadas a Internet, estos puertos están normalmente bloqueados por un servidor de seguridad.

Gravedad:  
 

Todos los productos afectados

Baja

 

Esta clasificación está basada en los tipos de sistemas afectados por esta vulnerabilidad, en sus patrones típicos de implementación y en el efecto que podría tener un ataque que aproveche dicha vulnerabilidad.

 

Identificador de vulnerabilidad:

Versiones probadas:

Microsoft ha realizado pruebas con Windows Millennium Edition (ME), Microsoft Windows NT 4.0 Server, Microsoft Windows NT 4.0 Terminal Server Edition, Microsoft Windows 2000, Microsoft Windows XP y Microsoft Windows Server 2003 para determinar si están afectados por esta vulnerabilidad.  Las versiones anteriores ya no tienen soporte y pueden, o no, verse afectadas.
 

 
 
Preguntas más frecuentes
 

 


¿Cuál es el alcance de esta vulnerabilidad?

Se trata de una vulnerabilidad de Divulgación de la información que podría permitir a un atacante recibir datos arbitrarios o aleatorios de la memoria de otro equipo conectado en una red.
En ciertas condiciones, la respuesta a una consulta del servicio de nombres NetBT (NetBIOS en TCP) puede, aparte de la respuesta normal, incluir datos aleatorios de la memoria del sistema de destino. Estos datos podrían, por ejemplo, contener una parte de código HTML si el usuario del sistema de destino estaba utilizando un explorador de Internet, o cualquier otro tipo de datos presentes en la memoria en el momento en que el sistema de destino enviaba una respuesta a una consulta del servicio de nombres NetBT.
Para aprovechar esta vulnerabilidad, el atacante debería ser capaz de obtener acceso al sistema de destino a través de NetBT.
Es preciso hacer constar que la posible divulgación de la información no se puede controlar, y que la información que llega a las manos de un atacante es totalmente arbitraria, ya que la divulgación de la información se limita a partes aleatorias de datos en memoria.
Un atacante podría aumentar las posibilidades de divulgación de memoria enviando repetidamente consultas de servicio de nombres NetBT al sistema. De todas formas, la información divulgada seguiría siendo aleatoria y su contenido dependería de las acciones que el usuario realizara en el sistema atacado en el momento de producirse el ataque.

¿Qué es NetBIOS?
NetBIOS es un conjunto de servicios de red diseñado para la comunicación por red de los equipos. NetBIOS puede implementarse sobre varios protocolos de red, como TCP/IP.

¿Qué es NetBT?
NetBT es el protocolo que describe cómo se proporcionan los servicios NetBIOS en una red TCP/IP. Consulte el apartado Conceptos acerca de NetBIOS en TCP/IP (NetBT) para obtener más información.

¿Cuál es la causa de esta vulnerabilidad?
En el caso de un datagrama/paquete de red que necesite una separación, dicha separación debería estar vacía. La vulnerabilidad se produce porque un defecto en NetBT puede provocar que se utilicen como separación datos arbitrarios en lugar de datos en blanco.

¿Qué es un datagrama?
Un datagrama es una entidad independiente que incluye información suficiente para poder ser enrutado desde el equipo de origen al de destino sin dependencia de intercambios anteriores entre este equipo de origen y de destino y la red de transporte.
En conclusión, un datagrama es el elemento en el que TCP/IP divide los archivos y otros tipos de contenido antes de su enrutamiento a través de una determinada red.

¿Qué problema existe con NetBT?
Se ha detectado un defecto en la forma en que NetBT separa los datagramas. Cuando NetBT construye las respuestas del servicio de nombres, asigna un búfer de mayor capacidad para que pueda incluir la información necesaria para la respuesta. Este búfer no se inicializa correctamente antes de ser utilizado para asegurarse de que está vacío. NetBT solamente escribirá en el búfer la cantidad de datos necesaria para la respuesta, pero leerá todo el contenido del búfer cuando envía la respuesta al sistema que la solicita. En consecuencia, la separación, o la diferencia entre los datos escritos y leídos en el búfer, podría estar formada por datos arbitrarios de una operación anterior de la memoria, ya que el búfer no se ha inicializado en primer lugar.

¿Qué podría hacer un intruso que aprovechara esta vulnerabilidad?
Este punto vulnerable podría permitir a un atacante leer parte del contenido de la memoria del sistema de destino mediante el análisis de las respuestas de la consulta del servicio de nombres NetBT. El atacante no puede saber de ninguna manera qué contenido de la memoria se divulgará ni forzar la exposición de determinados datos.

¿Cómo podría aprovechar un intruso esta vulnerabilidad?
Para aprovechar este punto vulnerable, un atacante podría enviar muchas consultas del servicio de nombres de NetBT a los sistemas de destino y, a continuación, analizar las respuestas en busca de datos arbitrarios procedentes de la memoria del sistema de destino. 

¿Qué cantidad de datos quedaría expuesta?
La cantidad de datos que se divulgaría es reducida. Por lo general, la separación necesaria oscila entre 15 bytes o menos.

Soluciones:

¿Existe alguna solución que permita bloquear el aprovechamiento de esta vulnerabilidad mientras compruebo o evalúo la revisión de seguridad?
Sí. Aunque Microsoft recomienda encarecidamente que todos los clientes apliquen la revisión de seguridad lo antes posible, hay varias soluciones que se pueden aplicar mientras tanto para evitar este modo de aprovechar esta vulnerabilidad. No se garantiza que estas soluciones esporádicas impidan todas las vías posibles de ataque.
Debe tenerse en cuenta que estas soluciones son medidas temporales, ya que sólo ayudan a bloquear las formas de ataque pero no corrigen la vulnerabilidad subyacente. 

·          Bloquear TCP y UDP en el puerto 137 en el servidor de seguridad de las máquinas afectadas.
El servicio de nombres NetBT utiliza este puerto. Al bloquearlo en el servidor de seguridad, evitará que los sistemas situados detrás de dicho servidor de seguridad sean víctimas de algún ataque que intente aprovechar estos puntos vulnerables. Utilice el Servidor de seguridad de conexión a Internet (disponible solamente en XP y Windows Server 2003). Si utiliza el Servidor de seguridad de conexión a Internet en Windows XP o Windows Server 2003 para proteger su conexión a Internet, el tráfico NetBT de entrada desde Internet se bloqueará de forma predeterminada.

·          Bloquear el puerto afectado mediante el uso de un filtro IPSEC en las máquinas afectadas.
Puede proteger las comunicaciones de red en equipos basados en Windows 2000 mediante Seguridad de Protocolo Internet (IPSec, Internet Protocol Security). En los artículos 313190 y 813878 de Microsoft Knowledge Base encontrará toda la información necesaria acerca de IPSec y de cómo aplicar los filtros

·          Deshabilitar NetBIOS en TCP/IP
También es posible deshabilitar NetBT en Windows 2000, Windows XP y Windows Server 2003. Para obtener más información al respecto y saber qué elementos pueden verse afectados por la aplicación de esta medida, consulte NetBIOS en TCP/IP (NetBT).

 ¿Cómo funciona esta revisión de seguridad?
La revisión elimina la vulnerabilidad porque garantiza que NetBT inicializa correctamente el búfer afectado.

 
 

Disponibilidad de la revisión de seguridad

Lugares de descarga de esta revisión de seguridad

 
 
Información adicional acerca de esta revisión de seguridad
 

 

 

Plataformas de instalación:

La revisión puede instalarse en los sistemas que ejecuten:

Inclusión en futuros Service Packs:

La solución a este problema se incluirá en el Service Pack 5 de Windows 2000, el Service Pack 4 de Windows XP y el Service Pack 1 de Windows Server 2003.

Reinicio necesario:

 

¿Se puede desinstalar esta revisión de seguridad?

 

Revisiones de seguridad anuladas por ésta: Ninguna

 

Comprobación de la instalación de la revisión de seguridad:

  • Windows NT 4.0 Server :
    Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que todos los archivos que figuran en la información sobre archivos del artículo 824105 de la Knowledge Base están presentes en el sistema.
  • Windows NT 4.0, Terminal Server Edition:
    Para comprobar que la revisión de seguridad se ha instalado en el equipo, compruebe que todos los archivos que figuran en la información sobre archivos del artículo 824105 de la Knowledge Base están presentes en el sistema.
  • Windows 2000:
    Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000\SP5\KB
    824105.

    Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 824105 de la Knowledge Base.
  • Windows XP:

    Si se ha instalado en Windows XP Gold:
    Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

              HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP1\KB824105

              Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 824105 de la Knowledge Base.

    Si se ha instalado en Windows XP con Service Pack 1:

    Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

              HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\KB824105.

              Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 824105 de la Knowledge Base.
  • Windows Server 2003:

    Para comprobar que la revisión de seguridad se ha instalado en el equipo, confirme que se ha creado la siguiente clave del Registro:

                    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Window Server 2003\SP1\KB824105.

                    Para comprobar que los archivos individuales están presentes en el sistema, utilice la información de fecha, hora y versión que figura en la información de archivos en el artículo 824105 de la Knowledge Base.

Advertencias: Ninguna.
 

Versiones traducidas:
Existen versiones traducidas de esta revisión de seguridad en las ubicaciones indicadas en "Disponibilidad de la revisión de seguridad".

 

Obtención de otras revisiones de seguridad:
Las revisiones de seguridad para otros problemas están disponibles en las ubicaciones siguientes:

  • Las revisiones de seguridad están disponibles en Centro de descargas de Microsoft, y se pueden encontrar con mayor facilidad mediante una búsqueda de la palabra clave "security_patch".
     

  • Las revisiones de seguridad para plataformas de usuarios están disponibles en el sitio Web WindowsUpdate.

 

Información adicional:

Agradecimientos

Microsoft agradece Mike Price de Foundstone Labs la comunicación de este problema y su cooperación para proteger a los clientes.

Soporte técnico:

 

·        El artículo 824105 de la Knowledge Base de Microsoft trata este problema y estará disponible aproximadamente 24 horas después de la publicación de este boletín. Los artículos de la Knowledge Base se encuentran en el sitio Web de Soporte técnico en línea de Microsoft.

 

·        Puede solicitar soporte técnico en los Servicios de soporte técnico de Microsoft. Las llamadas de soporte técnico relacionadas con las revisiones de seguridad son gratuitas.

 

Recursos de seguridad: La Web de recursos de seguridad de Microsoft proporciona información adicional sobre la seguridad de los productos de Microsoft.

 

Renuncia:
La información proporcionada en la Knowledge Base de Microsoft se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia al otorgamiento de toda otra garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales consecuenciales, pérdida de beneficios o daños especiales, aun en el caso de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales y, por tanto, la limitación anterior puede no serle aplicable.

 

Revisiones:

  • V1.0 (3 de septiembre de 2003): Publicación del boletín.

  • V1.1 (3 de septiembre de 2003): Actualización para reflejar que esta revisión de seguriad también estará incluida en el Windows 2000 Service Pack 5.

 

 

 

 
 
Recursos
Webcasts de Seguridad
Newsletter de Seguridad
Boletines de Seguridad
Glosario español
Actualice su PC
 
Comunidad
Learning Center
Videos de Seguridad
Weblogs
 
 

©2017 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Aviso Legal |Marcas registradas |Privacidad
Microsoft